【資安通報】WPvivid Backup <= 0.9.90

【資安通報】

風險等級(滿分為10分): 8.3

受影響版本: <= 0.9.90

簡述:
在 0.9.90 以下版本中缺少對 start_staging 和 get_staging_progress 功能的功能檢查。這使得經過身份驗證的攻擊者可以在伺服器上創建新的暫存網站和新的 WordPress 安裝,這些網站使用攻擊者控制下的任意資料庫連接。這可以通過攻擊者授予自己對新資料庫的管理員許可權來允許完全接管網站,此時他們控制的網站與受害網站共用文件系統。

參考資料:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wpvivid-backuprestore/wpvivid-backup-plugin-0990-missing-authorization-via-start-staging-and-get-staging-progress

#大邵報資安

#WordPress